Win32 SEH异常深度探索_5 一个异常帧链表遍历例子

最新推荐文章于 2024-11-09 23:28:38 发布
最新推荐文章于 2024-11-09 23:28:38 发布
阅读量663 收藏
点赞数
文章标签: exception structure function search microsoft each

 If you're feeling a bit overwhelmed at this point by things like EXCEPTION_REGISTRATIONs, scopetables, trylevels, filter-expressions, and unwinding, so was I at first. The subject of compiler-level structured exception handling does not lend itself to learning incrementally. Much of it doesn't make sense unless you understand the whole ball of wax. When confronted with a lot of theory, my natural inclination is to write code that applies the concepts I'm learning. If the program works, I know that my understanding is (usually) correct.

前面有一大堆名词: EXCEPTION_REGISTRATIONs ( 异常注册 ), scopetables( 异常范围表 ), trylevels(try 块顺序索引 ), filter-expressions( 过滤表达式 ), unwinding( 回退 ) 。你可能会感到疑惑。而编译器生成的异常处理代码更是如此,你必须了解整个细节才能对此有所感觉。我通过一些可以工作的代码来说明我的理解。

 

Figure 10 is the source code for ShowSEHFrames.EXE. It uses _try/_except blocks to set up a list of several Visual C++ SEH frames. Afterwards, it displays information about each frame, as well as the scopetables that Visual C++ builds for each frame. The program doesn't generate or expect any exceptions. Rather, I included all the _try blocks to force Visual C++ to generate multiple EXCEPTION_ REGISTRATION frames, with multiple scopetable entries per frame.

下面一段代码生成了一系列的 SEH 帧并打印出来。 ( 注:这段代码在 VS2005 下需要做很多修改,因为 VS2005 编译器生成的代码和数据结构有了很多变化 )

 view plaincopy to clipboardprint?
//==================================================  
 // ShowSEHFrames - Matt Pietrek 1997  
 // Microsoft Systems Journal, February 1997  
 // FILE: ShowSEHFrames.CPP  
 // To compile: CL ShowSehFrames.CPP  
 //==================================================  
 #define WIN32_LEAN_AND_MEAN  
 #include <windows.h>  
 #include <stdio.h>  
 #pragma hdrstop  
   
 //----------------------------------------------------------------------------  
 // !!! WARNING !!!  This program only works with Visual C++, as the data  
 // structures being shown are specific to Visual C++.  
 //----------------------------------------------------------------------------  
   
 #ifndef _MSC_VER  
 #error Visual C++ Required (Visual C++ specific information is displayed)  
 #endif  
   
 //----------------------------------------------------------------------------  
 // Structure Definitions  
 //----------------------------------------------------------------------------  
   
 // The basic, OS defined exception frame  
   
 struct EXCEPTION_REGISTRATION  
 {  
     EXCEPTION_REGISTRATION* prev;  
     FARPROC                 handler;  
 };  
   
   
 // Data structure(s) pointed to by Visual C++ extended exception frame  
   
 struct scopetable_entry  
 {  
     DWORD       previousTryLevel;  
     FARPROC     lpfnFilter;  
     FARPROC     lpfnHandler;  
 };  
   
 // The extended exception frame used by Visual C++  
   
 struct VC_EXCEPTION_REGISTRATION : EXCEPTION_REGISTRATION  
 {  
     scopetable_entry *  scopetable;  
     int                 trylevel;  
     int                 _ebp;  
 };  
   
 //----------------------------------------------------------------------------  
 // Prototypes  
 //----------------------------------------------------------------------------  
   
 // __except_handler3 is a Visual C++ RTL function.  We want to refer to  
 // it in order to print it's address.  However, we need to prototype it since  
 // it doesn't appear in any header file.  
   
 extern "C" int _except_handler3(PEXCEPTION_RECORD, EXCEPTION_REGISTRATION *,  
                                 PCONTEXT, PEXCEPTION_RECORD);  
   
   
 //----------------------------------------------------------------------------  
 // Code  
 //----------------------------------------------------------------------------  
   
 //  
 // Display the information in one exception frame, along with its scopetable  
 //  
   
 void ShowSEHFrame( VC_EXCEPTION_REGISTRATION * pVCExcRec )  
 {  
     printf( "Frame: %08X  Handler: %08X  Prev: %08X  Scopetable: %08X/n",  
             pVCExcRec, pVCExcRec->handler, pVCExcRec->prev,  
             pVCExcRec->scopetable );  
   
     scopetable_entry * pScopeTableEntry = pVCExcRec->scopetable;  
   
     for ( unsigned i = 0; i <= pVCExcRec->trylevel; i++ )  
     {  
         printf( "    scopetable[%u] PrevTryLevel: %08X  " 
                 "filter: %08X  __except: %08X/n", i,  
                 pScopeTableEntry->previousTryLevel,  
                 pScopeTableEntry->lpfnFilter,  
                 pScopeTableEntry->lpfnHandler );  
   
         pScopeTableEntry++;  
     }  
   
     printf( "/n" );  
 }    
   
 //  
 // Walk the linked list of frames, displaying each in turn  
 //  
   
 void WalkSEHFrames( void )  
 {  
     VC_EXCEPTION_REGISTRATION * pVCExcRec;  
   
     // Print out the location of the __except_handler3 function  
     printf( "_except_handler3 is at address: %08X/n", _except_handler3 );  
     printf( "/n" );  
   
     // Get a pointer to the head of the chain at FS:[0]  
     __asm   mov eax, FS:[0]  
     __asm   mov [pVCExcRec], EAX  
   
     // Walk the linked list of frames.  0xFFFFFFFF indicates the end of list  
     while (  0xFFFFFFFF != (unsigned)pVCExcRec )  
     {  
         ShowSEHFrame( pVCExcRec );  
         pVCExcRec = (VC_EXCEPTION_REGISTRATION *)(pVCExcRec->prev);  
     }        
 }  
   
 void Function1( void )  
 {  
     // Set up 3 nested _try levels (thereby forcing 3 scopetable entries)  
     _try  
     {  
         _try  
         {  
             _try  
             {  
                 WalkSEHFrames();    // Now show all the exception frames  
             }  
             _except( EXCEPTION_CONTINUE_SEARCH )  
             {  
             }  
         }  
         _except( EXCEPTION_CONTINUE_SEARCH )  
         {  
         }  
     }  
     _except( EXCEPTION_CONTINUE_SEARCH )  
     {  
     }  
 }  
   
 int main()  
 {  
     int i;  
   
     // Use two (non-nested) _try blocks.  This causes two scopetable entries  
     // to be generated for the function.  
   
     _try  
     {  
         i = 0x1234;     // Do nothing in particular  
     }  
     _except( EXCEPTION_CONTINUE_SEARCH )  
     {  
         i = 0x4321;     // Do nothing (in reverse)  
     }  
   
     _try  
     {  
         Function1();    // Call a function that sets up more exception frames  
     }  
     _except( EXCEPTION_EXECUTE_HANDLER )  
     {  
         // Should never get here, since we aren't expecting an exception  
         printf( "Caught Exception in main/n" );  
     }  
   
     return 0;  
 }  
//==================================================
 // ShowSEHFrames - Matt Pietrek 1997
 // Microsoft Systems Journal, February 1997
 // FILE: ShowSEHFrames.CPP
 // To compile: CL ShowSehFrames.CPP
 //==================================================
 #define WIN32_LEAN_AND_MEAN
 #include <windows.h>
 #include <stdio.h>
 #pragma hdrstop
 
 //----------------------------------------------------------------------------
 // !!! WARNING !!!  This program only works with Visual C++, as the data
 // structures being shown are specific to Visual C++.
 //----------------------------------------------------------------------------
 
 #ifndef _MSC_VER
 #error Visual C++ Required (Visual C++ specific information is displayed)
 #endif
 
 //----------------------------------------------------------------------------
 // Structure Definitions
 //----------------------------------------------------------------------------
 
 // The basic, OS defined exception frame
 
 struct EXCEPTION_REGISTRATION
 {
     EXCEPTION_REGISTRATION* prev;
     FARPROC                 handler;
 };
 
 
 // Data structure(s) pointed to by Visual C++ extended exception frame
 
 struct scopetable_entry
 {
     DWORD       previousTryLevel;
     FARPROC     lpfnFilter;
     FARPROC     lpfnHandler;
 };
 
 // The extended exception frame used by Visual C++
 
 struct VC_EXCEPTION_REGISTRATION : EXCEPTION_REGISTRATION
 {
     scopetable_entry *  scopetable;
     int                 trylevel;
     int                 _ebp;
 };
 
 //----------------------------------------------------------------------------
 // Prototypes
 //----------------------------------------------------------------------------
 
 // __except_handler3 is a Visual C++ RTL function.  We want to refer to
 // it in order to print it's address.  However, we need to prototype it since
 // it doesn't appear in any header file.
 
 extern "C" int _except_handler3(PEXCEPTION_RECORD, EXCEPTION_REGISTRATION *,
                                 PCONTEXT, PEXCEPTION_RECORD);
 
 
 //----------------------------------------------------------------------------
 // Code
 //----------------------------------------------------------------------------
 
 //
 // Display the information in one exception frame, along with its scopetable
 //
 
 void ShowSEHFrame( VC_EXCEPTION_REGISTRATION * pVCExcRec )
 {
     printf( "Frame: %08X  Handler: %08X  Prev: %08X  Scopetable: %08X/n",
             pVCExcRec, pVCExcRec->handler, pVCExcRec->prev,
             pVCExcRec->scopetable );
 
     scopetable_entry * pScopeTableEntry = pVCExcRec->scopetable;
 
     for ( unsigned i = 0; i <= pVCExcRec->trylevel; i++ )
     {
         printf( "    scopetable[%u] PrevTryLevel: %08X  "
                 "filter: %08X  __except: %08X/n", i,
                 pScopeTableEntry->previousTryLevel,
                 pScopeTableEntry->lpfnFilter,
                 pScopeTableEntry->lpfnHandler );
 
         pScopeTableEntry++;
     }
 
     printf( "/n" );
 } 
 
 //
 // Walk the linked list of frames, displaying each in turn
 //
 
 void WalkSEHFrames( void )
 {
     VC_EXCEPTION_REGISTRATION * pVCExcRec;
 
     // Print out the location of the __except_handler3 function
     printf( "_except_handler3 is at address: %08X/n", _except_handler3 );
     printf( "/n" );
 
     // Get a pointer to the head of the chain at FS:[0]
     __asm   mov eax, FS:[0]
     __asm   mov [pVCExcRec], EAX
 
     // Walk the linked list of frames.  0xFFFFFFFF indicates the end of list
     while (  0xFFFFFFFF != (unsigned)pVCExcRec )
     {
         ShowSEHFrame( pVCExcRec );
         pVCExcRec = (VC_EXCEPTION_REGISTRATION *)(pVCExcRec->prev);
     }     
 }
 
 void Function1( void )
 {
     // Set up 3 nested _try levels (thereby forcing 3 scopetable entries)
     _try
     {
         _try
         {
             _try
             {
                 WalkSEHFrames();    // Now show all the exception frames
             }
             _except( EXCEPTION_CONTINUE_SEARCH )
             {
             }
         }
         _except( EXCEPTION_CONTINUE_SEARCH )
         {
         }
     }
     _except( EXCEPTION_CONTINUE_SEARCH )
     {
     }
 }
 
 int main()
 {
     int i;
 
     // Use two (non-nested) _try blocks.  This causes two scopetable entries
     // to be generated for the function.
 
     _try
     {
         i = 0x1234;     // Do nothing in particular
     }
     _except( EXCEPTION_CONTINUE_SEARCH )
     {
         i = 0x4321;     // Do nothing (in reverse)
     }
 
     _try
     {
         Function1();    // Call a function that sets up more exception frames
     }
     _except( EXCEPTION_EXECUTE_HANDLER )
     {
         // Should never get here, since we aren't expecting an exception
         printf( "Caught Exception in main/n" );
     }
 
     return 0;
 } 

The important functions in ShowSEHFrames are WalkSEHFrames and ShowSEHFrame. WalkSEHFrames first prints out the address of __except_handler3, the reason for which will be clear in a moment. Next, the function obtains a pointer to the head of the exception list from FS:[0] and walks each node in the list. Each node is of type VC_EXCEPTION_REGISTRATION, which is a structure that I defined to describe a Visual C++ exception handling frame. For each node in the list, WalkSEHFrames passes a pointer to the node to the ShowSEHFrame function.

ShowSEHFrames 首先打印出 __except_handler3 的地址,然后通过 FS:[0] 获取异常链表的头指针,遍历链表并打印信息。

 

ShowSEHFrame starts by printing the address of the exception frame, the handler callback address, the address of the previous exception frame, and a pointer to the scopetable. Next, for each scopetable entry, the code prints out the previous trylevel, the filter-expression address, and the _except block address. How do I know how many entries are in a scopetable? I don't really. Rather, I assume that the current trylevel in the VC_EXCEPTION_REGISTRATION structure is one less than the total number of scopetable entries.

ShowSEHFrame 可以获取 scopetable 并打印里面信息。

不过这段代码获取 scopetable 的地方在 VS2005 下不能工作,因为 VS2005 是这样保存 scopetable 的:

004020E5  push        offset ___rtc_tzz+11Ch (403870h)          <== Scope table

004020FC  mov        eax,dword ptr [___security_cookie (405004h)]

00402101  xor         dword ptr [ebp-8],eax <== Scope table

也就是它会将 scopetable 的地址值与 ___security_cookie 做个异或,所以取得时候也得做些处理。

同样 scopetable 中有四个 int 空间保存了其他信息,从第五个 int 开始才是 scopetable 内的原素值。

 

You may be wondering why there are three exception frames using __except_handler3 as their callback since ShowSEHFrames plainly has only two functions that use SEH. The third frame comes from the Visual C++ runtime library. The code in CRT0.C from the Visual C++ runtime library sources shows that the call to main or WinMain is wrapped in an _try/_except block. The filter-expression code for this _try block is found in the WINXFLTR.C file.

你运行代码后可能会奇怪打印出来的信息怎么多了一个 SEH 。最后一个来自 VC 运行库,再 CRT0.C 中在调用 main/WinMain 时使用了一个 __try/__except 块包含,其相关 filter-expression 代码在 WINXFLTR.C 中。


本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/hongjiqin/archive/2009/09/25/4593821.aspx

liwei8703
关注
Windows核心编程笔记(十八) SEH结构化异常
春暖花开
02-08 828
23.2 编译器层面对系统SEH机制的封装 23.2.1 扩展的EXCEPTION_REGISTRATION级相关结构:VC_EXCEPTION_REGISTRATION (1)VC_EXCEPTION_REGISTRATION结构 struct VC_EXCEPTION_REGISTRATION { VC_EXCEPTION_REGISTRATION* prev
深入解析结构化异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 1万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
scope作用域插槽在table中用法
unimpossibles的博客
03-05 1913
element-ui中slot-scope=“scope” 在table应用中我们经常看到如下用法 <el-table :data="userlist" style="width: 100%" border >//:data 在此绑定数据源 <el-table-column type="index" label="编号"></el-table-col...
SEH stack 结构探索(4)--- __exception_handler4() 探秘2之 scopetable 结构
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 1488
SEH stack 结构探索(4)--- __exception_handler4() 探秘2之 scopetable 结构 现在我们来继续分析 __exception_handler4_common() 的代码 我们来看看在 WinDbg 里显示的 __exception_handler4_common() 原型: 0:000:x86> x MSVCR100D!*han
编译器扩展SEH(2)
寻梦&之璐
02-18 4674
问题 我们在制作SEH链的时候,每增加一个,就得进行一次如下代码 __asm{ mov eax,FS:[0] mov temp,eax lea ecx,myException mov FS:[0],ecx -------------->修改FS:[0]挂入链表 } 那么当编译进行自行生成时,会不会也是每增加一个try,except,然后就压入一个_EXCEPTION_REGISTRATION_RECORD结构体呢?接下来我们来看看如下代码会压入多少_EX
x86_64-8.1.0-release-win32-seh-rt_v6-rev0.rar
11-14
标题 "x86_64-8.1.0-release-win32-seh-rt_v6-rev0.rar" 暗示了这是一个针对x86_64架构的编译器或开发环境的下载包,版本号为8.1.0,并且是针对Windows 32位系统(尽管它本身是64位程序)的,具有结构化异常处理...
x86_64-8.1.0win32-seh-rt_v6-rev0.zip
05-31
MinGW-W64 GCC-8.1.0 x86_64-posix-seh 版本 地址:https://sourceforge.net/projects/mingw-w64/files/mingw-w64/
x86_64-8.1.0-win32-seh-rt_v6-rev0.zip
07-06
标题 "x86_64-8.1.0-win32-seh-rt_v6-rev0.zip" 暗示的是一个针对x86_64架构的MinGW-w64工具链的发行版,版本号为8.1.0,用于在Windows 64位操作系统上编译C和C++源代码。这个压缩包是专门设计来生成64位Windows可...
x86_64-8.1.0-release-win32-seh-rt_v6-rev0-jcs.zip
07-29
一个能打包64位window程序的工具,直接解压到某个目录就可以运行,可以bin目录添加到环境变量,我下载的时候是个.7z格式文件,上传时候提示资源已存在,所以我有打包了一下,40mb,csdn上传挺快啊
x86_64-13.2.0-release-win32-seh-ucrt-rt_v11-rev1.7z
12-14
标题 "x86_64-13.2.0-release-win32-seh-ucrt-rt_v11-rev1.7z" 暗示了一个针对x86_64架构的Windows 32位兼容版本的软件开发工具包。这个描述可能包含了关于编译器、运行时库和相关工具的信息。"seh"代表结构化异常...
栈溢出中利用SEH
W Blog
12-15 5488
结构化异常处理(SEH)         操作系统或程序在运行,难免会遇到各种各样的错误,如除零,非法内存访问,文件打开错误,内存不足,磁盘读写错误,外设操作失败。为了保证系统在遇到错误时不至于崩溃,仍能够健壮稳定地继续运行下去,windows会对运行在其中的程序提供一次补救的机会来处理错误这种机制就是异常处理机制。 S.E.H即异常处理结构体(Structure Exception Handl
1.1 关于游戏编程
逆的博客
11-06 978
1.1.1、游戏中客户端和服务器的交互 1.1.2、游戏客户端安装包和服务器安装包 1.1.3、客户端软件如何和服务端软件通信 1.1.4、计算机之间的通信数据传送抓取(wireshark) 1.1.5、关于游戏引擎
AI 扩展开发者思维方式:以 SQL 查询优化为例
最新发布
nbsaas-boot基于Request-Response的企业级快速开发框架
11-09 552
在使用 AI 之前,开发者可能已经习惯了使用传统的 SQL 写法和思路。比如在检查表中是否存在记录时,通常会选择使用COUNT(*),因为这是最为直观的方式。然而,随着 AI 的介入,开发者发现了新的查询方式,比如使用EXISTS或LIMIT来优化性能。这种思维方式的转变,实际上是一种"思维扩展"。AI 通过提供不同的视角和更优的解决方案,让开发者意识到以往没有尝试过的可能性。不仅扩展了开发者的工具箱,还帮助他们从新的角度思考问题,突破以往的编程习惯和思维定势。
Multi Agents协作机制设计及实践
weixin_43990004的博客
11-05 1151
在前述博客中,我们利用LangChain、AutoGen等开发框架构建了一个数据多智能体的平台,并使用了LangChain的Multi-Agents框架。然而,在实施过程中,我们发现现有的框架存在一些局限性,这些局限性影响了系统的整体性能和用户体验。本文将从多智能体协作的重要性、协作机制的难点以及应用方向三个方面进行详细阐述。
QCustomPlot添加自定义的图例,实现隐藏、删除功能(二)
MusicScore的博客
11-06 176
要实现一个支持复选框来控制曲线显示和隐藏的自定义QCPLegend类,可以通过继承QCPLegend并重写绘制和事件处理方法来实现,同时发出信号通知曲线的状态变更。
抽象工厂模式详解
hello.reader
11-09 590
*抽象工厂模式(Abstract Factory Pattern)**是创建型模式之一,它提供了一种创建一系列相关或相互依赖对象的接口,而无需指定它们的具体类。抽象工厂模式通过为每个产品族定义一组接口(抽象工厂),并且将这些接口的实现(具体工厂)延迟到子类中,实现不同产品族的创建。核心思想产品族和产品等级结构:抽象工厂模式专注于生产一组相关的产品,例如跨平台应用中同一风格的 UI 组件,可以属于同一产品族。隐藏具体类。
(没有跳过联网激活)导致使用微软账号激活电脑---修改为本地账户和英文名字
qq_46089163的博客
11-06 410
当没有联网激活新买的电脑时候,这个就不用看了当你是联网激活的时候,一般会使用微软账户登录进你的电脑,这个时候系统会给你注册表,文件夹,还有系统变量等等都改为,当前微软账号的前5位数,对此需要进行文件夹和注册表的更改最后需要删除当前的账户。
解密Win32结构化异常处理机制
"深入探索Win32结构化异常处理,关注高级Windows调试和破解技术,主要涉及Win32 结构化异常处理(SEH)机制的底层原理和操作系统的实现细节。" Win32结构化异常处理(SEH)是Windows操作系统提供的一种核心异常处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值